wifi AP

Походу томкат и фтп блокирует iptables - если его выключить то они работают.

Как найти правило, которым он блокируется


[root@delta-s hostapd]# iptables-save
# Generated by iptables-save v1.4.10 on Tue Dec 27 10:50:13 2011
*nat
:PREROUTING ACCEPT [827:90903]
:INPUT ACCEPT [411:47415]
:OUTPUT ACCEPT [1672:158421]
:POSTROUTING ACCEPT [1782:165497]
COMMIT
# Completed on Tue Dec 27 10:50:13 2011
# Generated by iptables-save v1.4.10 on Tue Dec 27 10:50:13 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13252:1035055]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2000:2010 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Фактически у тебя разрешается вот этой строкой:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
принимать трафик только устанавливаемых тобой соединений.
Потом разрешается icmp, затем разрешается принимать ssh (22 порт),
потом разрешается принимать соединения на портах с 2000 по 2010.
А затем запрещается всё что не попало под предыдущие правила (-j REJECT).

Это мы говорили про трафик для самой этой машины.

Строка перед COMMIT зарубает транзит трафика через твою машину.

Вообще если у тебя это домашний роутер то я бы посоветовал выкиннуть нафиг все правила, перевесить ssh на не стандартный порт. Если из интернета не нужны http,ftp и т.д. то и запретить серверам слушать на внешних интерфейсах. Короче говоря сократить торчащие наружу порты средствами самих слушающих их демонов. И на всякий случай поставить нормальный пароль на root и закрыть доступ по ssh под root. Тоесть логинишься под юзером а затем su.

Я думаю что сейчас количество комментаторов резко увеличится, пускай анализируют.
Вообще, когда сделаешь всё что я сказал, можно убрать всё из iptables и оставить только nat и ограничения для транзитного трафика(если таковые нужны).

Спасибо за широкий ответ.
Займусь потихоньку...

Все поудалял. Настройки такие.

# Generated by iptables-save v1.4.10 on Tue Dec 27 13:46:57 2011
*nat
:PREROUTING ACCEPT [3054:270354]
:INPUT ACCEPT [4:216]
:OUTPUT ACCEPT [2087:193727]
:POSTROUTING ACCEPT [534:37768]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Tue Dec 27 13:46:57 2011
# Generated by iptables-save v1.4.10 on Tue Dec 27 13:46:57 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [3397:1202122]
:OUTPUT ACCEPT [26069:2855312]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Tue Dec 27 13:46:57 2011

Сейчас проблема в том что куча сайтов не открывается с клиента(с сервера ок).

http://www.opennet.ru/base/net/pppoe_mtu.txt.html

может ваш случай, и дело в MTU, если используются туннели то MTU обычно уменьшается так как при туннелировании добавляется ещё один заголовок... То что там у человека PPPOE не важно, смысл в том же. Если открываются маленькие странички а большие нет - то дело точно в этом.